Zitat:

c:\windows\System32\Drivers\splq.sys

Diese Datei hab ich nicht gefunden.
nur z.B. spldr.sys oder spsys.sys

Zitat:

c:\windows\System32\Drivers\a4cspnj6.SYS

Diese Datei finde ich auch nicht um sie hochzuladen.


Gibt es denn einen Unterschied bei der Bezeichnung von Drivers und der Bezeichnung drivers
(außer die Groß/Kleinschreibweise) ?

Zitat:

c:\program files\TrueSuite Access Manager\IconOvrly.dll

Code: Alles auswählenAufklappen

ATTFilter

a-squared 4.0.0.93 2009.02.19 - 
AhnLab-V3 2009.2.19.0 2009.02.18 - 
AntiVir 7.9.0.83 2009.02.18 - 
Authentium 5.1.0.4 2009.02.18 - 
Avast 4.8.1335.0 2009.02.18 - 
AVG 8.0.0.237 2009.02.19 - 
BitDefender 7.2 2009.02.19 - 
CAT-QuickHeal 10.00 2009.02.18 - 
ClamAV 0.94.1 2009.02.18 - 
Comodo 983 2009.02.18 - 
DrWeb 4.44.0.09170 2009.02.19 - 
eSafe 7.0.17.0 2009.02.18 - 
eTrust-Vet 31.6.6364 2009.02.19 - 
F-Prot 4.4.4.56 2009.02.18 - 
F-Secure 8.0.14470.0 2009.02.19 - 
Fortinet 3.117.0.0 2009.02.18 - 
GData 19 2009.02.19 - 
Ikarus T3.1.1.45.0 2009.02.19 - 
K7AntiVirus 7.10.630 2009.02.18 - 
Kaspersky 7.0.0.125 2009.02.19 - 
McAfee 5529 2009.02.17 - 
McAfee+Artemis 5529 2009.02.17 - 
Microsoft 1.4306 2009.02.18 - 
NOD32 3866 2009.02.18 - 
Norman 6.00.06 2009.02.18 - 
nProtect 2009.1.8.0 2009.02.19 - 
Panda 9.4.3.20 2009.02.18 - 
PCTools 4.4.2.0 2009.02.18 - 
Prevx1 V2 2009.02.19 - 
Rising 21.17.22.00 2009.02.18 - 
SecureWeb-Gateway 6.7.6 2009.02.18 - 
Sophos 4.38.0 2009.02.18 - 
Sunbelt 3.2.1855.2 2009.02.17 - 
Symantec 10 2009.02.19 - 
TheHacker 6.3.2.2.259 2009.02.18 - 
TrendMicro 8.700.0.1004 2009.02.18 - 
VBA32 3.12.10.0 2009.02.18 - 
ViRobot 2009.2.18.1613 2009.02.18 - 
VirusBuster 4.5.11.0 2009.02.18 - 
weitere Informationen 
File size: 118784 bytes 
MD5...: ddfc859ccb22e307d282549623ab6df6 
SHA1..: 5f7edf3a9f452d9440b7f7226637a64917b575ad 
SHA256: 42f1ab7761fb54593bc93f8a2f28cfb7b4887378d3f69450451b19e34de8e4cf 
SHA512: cba3291245d64209589450850c5e09fa63e2621675ba1c7096b6d80e13d70b05
25b0d6a7a78fb869cb02da17a0e0a9e7cf7cbb6c9247df86638ba3c8c00ff88c 
ssdeep: 1536:93DT5MwRZGnaFhrVC1m4CwTkItwWXqG5xWDXmw5mZ4I3:3MwEa066UDXl5m
Z4a
 
PEiD..: - 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10009407
timedatestamp.....: 0x4628363f (Fri Apr 20 03:40:47 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xfcec 0x10000 6.54 948114c5a6cebb5c359d2fd8eec49931
.rdata 0x11000 0x4ae6 0x5000 4.81 9a30ba8fd241d44849e1ea98d2f1d0f6
.data 0x16000 0x1ec0 0x2000 2.28 30fcf320d1954608dcdcc819319eb096
.rsrc 0x18000 0x1ec4 0x2000 3.89 b065e929c60dffd3985928a0122c2f05
.reloc 0x1a000 0x20ac 0x3000 3.51 880f4a03c32f6f350260d313bb6c5469

( 7 imports ) 
> dbghelp.dll: MakeSureDirectoryPathExists
> KERNEL32.dll: GetModuleFileNameW, InterlockedIncrement, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, EnterCriticalSection, LeaveCriticalSection, SetThreadLocale, GetThreadLocale, GetFileAttributesW, FindClose, FindFirstFileW, Sleep, lstrlenA, FreeResource, LockResource, InterlockedDecrement, GetSystemDefaultLangID, EnumResourceLanguagesW, CloseHandle, WriteFile, CreateFileW, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, LoadLibraryA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, lstrcmpiW, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, FindResourceExW, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, HeapSize, SetLastError, TlsFree, InterlockedExchange, GetACP, GetLocaleInfoA, GetVersionExA, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualFree, VirtualAlloc, HeapDestroy, HeapCreate, GetProcAddress, GetModuleHandleA, ExitProcess, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue
> USER32.dll: CharUpperW, UnregisterClassA, LoadStringW, CharNextW
> ADVAPI32.dll: RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW
> SHELL32.dll: SHGetSpecialFolderPathW, SHGetDesktopFolder, SHGetMalloc
> ole32.dll: StringFromCLSID, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
         

@Chris4You

Zitat:

Du hast in dem Mountpoint einige autoruns drin, gewollt?
Sonst per Regedit die Schlüssel löschen...

Gewollt ist das sicher nicht. Ich muss zugeben ich hab echt wenig ahnung von dem, was in einem Läptop geschieht. was nicht heißen soll, das ich es mich hindert es verstehen zu wollen.
Ich bin deinen Tipp mit RegEdit nachgegangen und hab das alles entfernt.
(auf meine eigene Gefahr hin)
ich bin überzeugt, das wenn du mich schon fragst, ob diese Programme "gewollt" sind, sie nicht unbedingt von Nöten sind.

Zitat:

Wirst Du noch umgeleitet?

nein, ich werde seit dem Durchlauf von malwarebytes' anti-malware nicht mehr daran gehindert bzw. verzögert es sich nicht.


Habt alle beide echt vielen Dank für eure bisherigen Mühen und eure zugewendete Zeit.
Wenn ich euch aus meinem Metier heraus einen Gefallen tuen könnte, würde ich euch sofort nen Kuchen per Post zukommen lassen. Vielen Dank nochmals

Hi,

wir löschen noch die beiden Files:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
c:\windows\System32\xa68148085.exe
c:\windows\System32\xa68147897.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

hey Chris,

habs erledigt. die Dateien sind aber noch da. zumindest ihr Symbole.

aber er sagt mir: (bei einem weiteren Durchlauf)

PendingFileRenameOperations Registry Data has been Removed by External Process!



Danke

Hi,

das hört sich nicht gut an...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\System32\xa68148085.exe
c:\windows\System32\xa68147897.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann bemühen wir noch Prevx:
Poste eventuelle Funde!, nur die:
http://www.prevx.com/freescan.asp

Bitte prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht-> ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

chris

Avenger sagt, die Dateien sind nicht mehr vorhanden. ich hab sie dann auch nicht mehr gefunden

PrevX CSI hat auch was gefunden---ist jetzt weg

Zitat:

Bitte prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht-> ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Diese Datei(sys) hab ich nicht gefunden.als ob sie nicht vorhanden ist.
ich hab den Pfad genauso befolgt und das hat auch so geklappt. aber sie war nicht da.



ich lass jetzt nacheinander malwarebytes' anti-malware; spybot search&destroy; prevx csi und SUPERAntiSpyware durchlaufen.

"Welche davon soll ich denn behalten?" Alle?

Gruß Rob

Hi,

von Spyboot halte ich eigentlich nicht viel, Prevx würde ich drauflassen, der verträgt sich eigentlich recht gut mit anderen Lösungen (allerdings ist das kein "Realtime"-Schutz, dazu z. B. Avira etc. (was halt einen Guard hat))...

Was hatte Prevx noch gefunden?

Wir prüfen noch kurz den Bootblock (war vor einiger Zeit bei den Hackern mal "inn"):
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




beim ersten durchlauf ergab es, das user und kernel nicht funktionieren. beim zweiten anlauf hat es dann geklappt.

prevx hat nichts mehr gefunden.
das sagt es sei alles clean

Weiteres VorGehen?????

Hi,

was treibt der Rechner?
Zu finden ist jetzt nichts mehr, entweder was sehr neues (was noch kein Scanner anzeigen kann bzw. sich gut genug versteckt)...
Gehst Du über einen Router ins Internet?

Alternativ um alle möglichen Beeinflussungen ausschließen zu können, bleibt nur noch ein Scann von einer Boot-CD...
z. B.:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

chris

der läuft wieder spitze.
danke für deine Hilfe.

es ist jetzt wieder alles in Ordnung.
Grüße R.